Difendersi dagli attacchi ransomware
In questa fase, gli attori delle minacce diventano più difficili da accedere ai sistemi locali o cloud rimuovendo gradualmente i rischi nei punti di ingresso.
Sebbene molte di queste modifiche siano familiari e facili da implementare, è estremamente importante che il lavoro svolto in questa parte della strategia non rallenta il progresso sulle altre parti importanti.
Ecco i collegamenti per esaminare il piano di prevenzione ransomware in tre parti:
Accesso remoto
Ottenere l'accesso alla intranet dell'organizzazione tramite una connessione di accesso remoto è un vettore di attacco per gli attori delle minacce ransomware.
Una volta compromesso un account utente locale, un attore di minacce può sfruttare una intranet per raccogliere informazioni, elevare privilegi e installare ransomware. Il cyberattack della Colonial Pipeline nel 2021 è un esempio di questa situazione.
Responsabilità dei membri del programma e del progetto per l'accesso remoto
Questa tabella descrive la protezione complessiva della soluzione di accesso remoto da ransomware in termini di gerarchia di sponsorizzazione/gestione del programma/gestione dei progetti per determinare e guidare i risultati.
| Lead | Implementatore | Responsabilità |
|---|---|---|
| CISO o CIO | Sponsor esecutivi | |
| Responsabile del programma nell'infrastruttura IT centrale/team di rete | Guidare i risultati e la collaborazione tra team | |
| Architetti IT e della sicurezza | Classificare in ordine di priorità l'integrazione dei componenti nelle architetture | |
| Team di gestione delle identità di IT centrale | Configurare l'ID e i criteri di accesso condizionale di Microsoft Entra | |
| Operazioni di IT centrale | Implementare le modifiche all'ambiente | |
| Proprietari del carico di lavoro | Assistenza con le autorizzazioni di controllo degli accessi in base al ruolo per la pubblicazione di app | |
| Criteri e standard per la sicurezza | Aggiornare gli standard e i documenti dei criteri | |
| Gestione della conformità alla sicurezza | Monitorare per garantire la conformità | |
| Team di formazione utenti | Aggiornare eventuali indicazioni sulle modifiche del flusso di lavoro ed eseguire la gestione delle modifiche e della formazione |
Elenco di controllo dell'implementazione per l'accesso remoto
Applicare queste procedure consigliate per proteggere l'infrastruttura di accesso remoto da attori di minacce ransomware.
| Fatto | Attività | Descrizione |
|---|---|---|
| Gestire gli aggiornamenti di software ed appliance. Evitare di perdere o ignorare le protezioni dei produttori (aggiornamenti della sicurezza, stato supportato). | Gli attori delle minacce usano vulnerabilità note che non sono ancora state applicate come vettori di attacco. | |
| Configurare l'ID Microsoft Entra per l'accesso remoto esistente, inclusa l'applicazione della convalida dell'utente e del dispositivo Zero Trust con l'accesso condizionale. | Zero Trust offre più livelli di protezione dell'accesso all'organizzazione. | |
| Configurare la sicurezza per le soluzioni VPN di terze parti esistenti (Cisco AnyConnect, Palo Alto Networks GlobalProtect & Captive Portal, Fortinet FortiGate SSL VPN, Citrix NetScaler, Zscaler Private Access (ZPA) e altro ancora. | Sfruttare la sicurezza predefinita della soluzione di accesso remoto. | |
| Distribuire la VPN da punto a sito di Azure per fornire l'accesso remoto. | Sfruttare i vantaggi dell'integrazione con Microsoft Entra ID e le sottoscrizioni di Azure esistenti. | |
| Pubblicare app Web locali con il proxy dell'applicazione Microsoft Entra. | Le app pubblicate con il proxy dell'applicazione Microsoft Entra non necessitano di una connessione di accesso remoto. | |
| Proteggere l'accesso alle risorse di Azure con Azure Bastion. | Connettersi in modo sicuro e senza problemi alle macchine virtuali di Azure tramite SSL. | |
| Controllare e monitorare per trovare e correggere deviazioni dalla baseline e potenziali attacchi. Vedere Rilevamento e risposta. | Ridurre il rischio da attività ransomware che sondano le funzionalità e le impostazioni di sicurezza di base. |
Posta elettronica e collaborazione
Implementare le procedure consigliate per le soluzioni di posta elettronica e collaborazione per rendere più difficile per gli attori delle minacce abusarli, consentendo agli operatori di accedere a contenuti esterni in modo semplice e sicuro.
Gli attori delle minacce entrano spesso nell'ambiente introducendo contenuti dannosi mascherati all'interno di strumenti di collaborazione autorizzati, ad esempio la posta elettronica e la condivisione di file e convincere gli utenti a eseguire il contenuto. Microsoft ha investito in mitigazioni avanzate che aumentano notevolmente la protezione da questi vettori di attacco.
Responsabilità dei membri del programma e del progetto per la posta elettronica e la collaborazione
Questa tabella descrive la protezione complessiva delle soluzioni di posta elettronica e collaborazione da ransomware in termini di gerarchia di sponsorizzazione/gestione del programma/gestione dei progetti per determinare e guidare i risultati.
| Lead | Implementatore | Responsabilità |
|---|---|---|
| CISO, CIO o direttore della gestione di identità | Sponsor esecutivi | |
| Responsabile del programma dal team di Architettura della sicurezza | Guidare i risultati e la collaborazione tra team | |
| Architetti IT | Classificare in ordine di priorità l'integrazione dei componenti nelle architetture | |
| Team per la produttività cloud o team degli utenti finali | Abilitare Defender per Office 365, Azure Site Recovery e AMSI | |
| Architettura della sicurezza / Infrastruttura ed endpoint | Assistenza per la configurazione | |
| Team di formazione utenti | Indicazioni per l'aggiornamento delle modifiche del flusso di lavoro | |
| Criteri e standard per la sicurezza | Aggiornare gli standard e i documenti dei criteri | |
| Gestione della conformità alla sicurezza | Monitorare per garantire la conformità |
Elenco di controllo dell'implementazione per la posta elettronica e la collaborazione
Applicare queste procedure consigliate per proteggere la posta elettronica e le soluzioni di collaborazione da attori di minacce ransomware
| Fatto | Attività | Descrizione |
|---|---|---|
| Abilitare AMSI per Office VBA. | Rilevare attacchi tramite macro di Office con strumenti per endpoint come Defender per endpoint. | |
| Implementare la sicurezza avanzata per la posta elettronica usando Defender per Office 365 o una soluzione simile. | La posta elettronica è un punto di ingresso comune per gli attori delle minacce. | |
| Distribuire regole di riduzione della superficie di attacco (Azure Site Recovery) per bloccare tecniche di attacco comuni, tra cui: - Abuso di endpoint, ad esempio furto di credenziali, attività ransomware e uso sospetto di PsExec e WMI. - Attività dei documento office usate con intento malevolo, ad esempio attività macro avanzate, contenuto eseguibile, creazione di processi e inserimento di processi avviati dalle applicazioni di Office. Nota: distribuire queste regole prima di tutto in modalità di controllo, quindi valutare eventuali impatti negativi e infine distribuirle in modalità di blocco. |
Azure Site Recovery offre livelli aggiuntivi di protezione specifici mirati alla mitigazione dei metodi di attacco comuni. | |
| Controllare e monitorare per trovare e correggere deviazioni dalla baseline e potenziali attacchi. Vedere Rilevamento e risposta. | Riduzione del rischio da attività ransomware che sondano le funzionalità e le impostazioni di sicurezza di base. |
Endpoint
Implementare le funzionalità di sicurezza pertinenti e seguire rigorosamente le procedure consigliate per la manutenzione software per endpoint (dispositivi) e applicazioni, assegnando priorità alle applicazioni e ai sistemi operativi server/client esposti direttamente al traffico e al contenuto Internet.
Gli endpoint esposti a Internet sono un vettore di ingresso comune che fornisce agli attori delle minacce l'accesso agli asset dell'organizzazione. Classificare in ordine di priorità le vulnerabilità comuni del sistema operativo e delle applicazioni con controlli preventivi per rallentarli o impedirne l'esecuzione nelle fasi successive.
Responsabilità dei membri del programma e del progetto per gli endpoint
Questa tabella descrive la protezione complessiva degli endpoint da ransomware in termini di gerarchia di sponsorizzazione/gestione del programma/gestione dei progetti per determinare e guidare i risultati.
| Lead | Implementatore | Responsabilità |
|---|---|---|
| Leadership aziendale responsabile dell'impatto aziendale sia del tempo di inattività che dei danni dovuti agli attacchi | Sponsorizzazione dei dirigenti (manutenzione) | |
| Operazioni di IT centrale o CIO | Sponsorizzazione dei dirigenti (altri) | |
| Responsabile del programma dal team dell'infrastruttura di IT centrale | Guidare i risultati e la collaborazione tra team | |
| Architetti IT e della sicurezza | Classificare in ordine di priorità l'integrazione dei componenti nelle architetture | |
| Operazioni di IT centrale | Implementare le modifiche all'ambiente | |
| Team per la produttività cloud o team degli utenti finali | Abilitare la riduzione della superficie di attacco | |
| Proprietari di carichi di lavoro/app | Identificare le finestre di manutenzione per le modifiche | |
| Criteri e standard per la sicurezza | Aggiornare gli standard e i documenti dei criteri | |
| Gestione della conformità alla sicurezza | Monitorare per garantire la conformità |
Elenco di controllo dell'implementazione per gli endpoint
Applicare queste procedure consigliate a tutti gli endpoint Windows, Linux, macOS, Android, iOS e altri.
| Fatto | Attività | Descrizione |
|---|---|---|
| Bloccare le minacce note con regole di riduzione della superficie di attacco, protezione antimanomissione e blocco al primo rilevamento. | Non lasciare che il mancato utilizzo di queste funzionalità di sicurezza predefinite sia il motivo per cui un utente malintenzionato è entrato nell'organizzazione. | |
| Applicare baseline di sicurezza per applicare la protezione avanzata a server e client Windows e alle applicazioni di Office con connessione Internet. | Proteggere l'organizzazione con il livello minimo di sicurezza e partire da questa posizione. | |
| Mantenere il software in modo che sia: - Aggiornato: distribuire rapidamente gli aggiornamenti della sicurezza critici per sistemi operativi, browser e client di posta elettronica - Supportato: aggiornare i sistemi operativi e il software per le versioni supportate dai fornitori. |
Gli utenti malintenzionati contano su aggiornamenti del produttore mancanti o trascurati. | |
| Isolare, disabilitare o ritirare sistemi e protocolli non sicuri, inclusi i sistemi operativi non supportati e i protocolli legacy. | Gli utenti malintenzionati usano vulnerabilità note di dispositivi, sistemi e protocolli legacy come punti di ingresso nell'organizzazione. | |
| Bloccare il traffico imprevisto con firewall basato su host e difese di rete. | Alcuni attacchi malware si basano sul traffico in ingresso non richiesto verso gli host come modo per stabilire una connessione per un attacco. | |
| Controllare e monitorare per trovare e correggere deviazioni dalla baseline e potenziali attacchi. Vedere Rilevamento e risposta. | Riduzione del rischio da attività ransomware che sondano le funzionalità e le impostazioni di sicurezza di base. |
Account
Proprio come le vecchie chiavi universali non proteggono una casa da un moderno ladro, le password non possono proteggere gli account dagli attacchi comuni a cui assistiamo oggi. Anche se l'autenticazione a più fattori (MFA) era un passaggio aggiuntivo oneroso, l'autenticazione senza password migliora l'esperienza di accesso usando approcci biometrici che non richiedono agli utenti di ricordare o digitare una password. Un'infrastruttura Zero Trust archivia inoltre informazioni sui dispositivi attendibili, riducendo quindi la richiesta di azioni di autenticazione a più fattori fastidiose fuori banda.
A partire da account di amministratore con privilegi elevati, seguire rigorosamente queste procedure consigliate per la sicurezza degli account, tra cui l'uso dell'approccio senza password o dell'autenticazione a più fattori.
Responsabilità dei membri del programma e del progetto per gli account
Questa tabella descrive la protezione complessiva degli account da ransomware in termini di gerarchia di sponsorizzazione/gestione del programma/gestione dei progetti per determinare e guidare i risultati.
| Lead | Implementatore | Responsabilità |
|---|---|---|
| CISO, CIO o direttore della gestione di identità | Sponsor esecutivi | |
| Responsabile del programma dai team di Gestione di identità e chiavi o di Architettura della sicurezza | Guidare i risultati e la collaborazione tra team | |
| Architetti IT e della sicurezza | Classificare in ordine di priorità l'integrazione dei componenti nelle architetture | |
| Gestione di identità e chiavi oppure operazioni di IT centrale | Implementare le modifiche di configurazione | |
| Criteri e standard per la sicurezza | Aggiornare gli standard e i documenti dei criteri | |
| Gestione della conformità alla sicurezza | Monitorare per garantire la conformità | |
| Team di formazione utenti | Aggiornare la password o le indicazioni per l'accesso ed eseguire la gestione delle modifiche e della formazione |
Elenco di controllo dell'implementazione per gli account
Applicare queste procedure consigliate per proteggere gli account da utenti malintenzionati che usano ransomware.
| Fatto | Attività | Descrizione |
|---|---|---|
| Applicare l'autenticazione a più fattori complessa o l'accesso senza password per tutti gli utenti. Iniziare con gli account di amministratore e priorità usando uno o più account: - Autenticazione senza password con Windows Hello o l'app Microsoft Authenticator. - Autenticazione a più fattori. - Una soluzione di autenticazione a più fattori di terze parti. |
Rendere più difficile per un utente malintenzionato eseguire una compromissione delle credenziali semplicemente determinando una password dell'account utente. | |
| Aumentare la sicurezza delle password: - Per gli account Microsoft Entra, usare la protezione password di Microsoft Entra per rilevare e bloccare password vulnerabili note e termini deboli aggiuntivi specifici dell'organizzazione. - Per gli account Active Directory locale Domain Services (AD DS), estendere la protezione password di Microsoft Entra agli account di Active Directory Domain Services. |
Assicurarsi che gli utenti malintenzionati non possano determinare password o password comuni in base al nome dell'organizzazione. | |
| Controllare e monitorare per trovare e correggere deviazioni dalla baseline e potenziali attacchi. Vedere Rilevamento e risposta. | Riduzione del rischio da attività ransomware che sondano le funzionalità e le impostazioni di sicurezza di base. |
Risultati e sequenze temporali dell'implementazione
Provare a ottenere questi risultati entro 30 giorni:
Il 100% dei dipendenti usa attivamente l'autenticazione a più fattori
Distribuzione del 100% della sicurezza delle password più elevata
Risorse ransomware aggiuntive
Informazioni chiave di Microsoft:
Moonstone Sleet emerge come nuovo attore di minacce nordcoreano con una nuova borsa di trucchi, Microsoft Blog, maggio 2024
2023 Report sulla difesa digitale Microsoft (vedere le pagine 17-26)
Ransomware: un report sulle minacce persistente e persistente analitica nel portale di Microsoft Defender
Approccio ransomware e case study del team di risposta agli eventi imprevisti Microsoft (in precedenza DART)
Microsoft 365:
- Distribuire la protezione ransomware per il tenant di Microsoft 365
- Ottimizzare la resilienza ransomware con Azure e Microsoft 365
- Recuperare da un attacco ransomware
- Protezione da malware e ransomware
- Proteggere il PC Windows 10 da ransomware
- Gestione di ransomware in SharePoint Online
- Report di analitica sulle minacce per ransomware nel portale di Microsoft Defender
Microsoft Defender XDR:
Microsoft Azure:
- Difesa di Azure per attacchi ransomware
- Ottimizzare la resilienza ransomware con Azure e Microsoft 365
- Backup e ripristino del piano per la protezione da ransomware
- Proteggere dal ransomware con Microsoft Backup di Azure (video di 26 minuti)
- Ripristino da compromissione dell'identità sistemica
- Rilevamento avanzato degli attacchi in più fasi in Microsoft Sentinel
- Rilevamento fusion per ransomware in Microsoft Sentinel
app Microsoft Defender per il cloud:
Post di blog del team di Microsoft Security:
3 passaggi per evitare e recuperare dal ransomware (settembre 2021)
Una guida per combattere il ransomware gestito dall'uomo: Parte 1 (settembre 2021)
Passaggi chiave sul modo in cui Il team di rilevamento e risposta di Microsoft (DART) esegue indagini sugli eventi imprevisti ransomware.
Una guida per combattere il ransomware gestito dall'uomo: parte 2 (settembre 2021)
Raccomandazioni e procedure consigliate.
-
Vedere la sezione Ransomware .
Attacchi ransomware gestiti dall'uomo: un disastro evitabile (marzo 2020)
Include analisi della catena di attacchi sugli attacchi effettivi.
Risposta ransomware: per pagare o non pagare? (dicembre 2019)
Norsk Hydro risponde all'attacco ransomware con trasparenza (dicembre 2019)